Перейти к содержанию
VladB

Лаборатория Касперского комментирует обвинение в использован

Recommended Posts

VladB

13 января, 2006

http://www.securitylab.ru/news/254796.php?...amp;R2=Sitenews

Марк Руссинович, известный эксперт в области компьютерной безопасности, активно участвовавший в скандале вокруг руткита Sony, предположил, что в продуктах Лаборатории Касперского также используются руткит-технологии. Его комментарии были приведены, например, сайтом PCWorld. Марк заявил следующее: «the techniques used by ... Kaspersky's Anti-Virus products are rootkits, a term usually reserved for the techniques that malicious software uses to avoid detection on an infected PC» («технологии, используемые в ... Антивирусе Касперского, являются руткитами, которые обычно применяются вредоносными программами для сокрытия своего присутствия на зараженном ПК»).

В продуктах ЛК действительно используется технология iStreams, о которой и говорит Руссинович. Но это никак не руткит.

Уже два года технология iStreams используется ЛК для увеличения скорости сканирования. Грубо говоря, продукты с технологией iStreams используют NTFS Alternate Data Streams для хранения контрольных сумм файлов, находящихся на жестком диске компьютера. Если контрольная сумма остается неизменной между двумя сканированиями файла, то это означает, что файл не изменялся с момента предыдущей проверки, и повторное сканирование не требуется.

Для просмотра альтернативных потоков данных NTFS необходимы специальные утилиты. Если антивирус запущен, то он скрывает созданные им потоки, поскольку они являются внутренней служебной информацией программы. Тот факт, что вы не можете увидеть эти потоки даже при помощи специальной утилиты, не делает их опасными. Это также не означает, что продукт, использующий подобные скрытые потоки содержит в себе руткит-технологии.

ЛК не считает эту технологию руткитом и не верит, что ей могут воспользоваться хакеры или вредоносные программы по следующим причинам:

Если Антивирус Касперского запущен, то потоки скрыты, и ни один другой процесс (включая системные) не может получить к ним доступа.

Если антивирус выгружен, то потоки становятся видимыми и их можно просмотреть при помощи соответствующих утилит (это стандартное поведение потоков NTFS).

Если поток переписан какими-либо (потенциально вредоносными) данными или кодом (например, после перезагрузки в безопасном режиме), то при следующей загрузке системы Антивирус Касперского прочитает потоки, не сумеет распознать их формат и построит базу контрольных сумм заново, удалив любые незнакомые ему данные и код.

В статье PCWorld также говорится следующее: «Хоть Руссинович и соглашается с тем, что применяемые Symantec и Kaspersky технологии сокрытия не так опасны, как технологии Sony, которую довольно быстро начали использовать вирусописатели, он утверждает, что все три компании прибегают к методам, опасным для пользователей и непригодным с точки зрения экспертов по компьютерной безопасности».

ЛК считает, что никакой опасности для пользователей Антивируса Касперского нет, поскольку нет возможности использовать создаваемые потоки данных иначе, чем задумано авторами антивируса.

Единственным негативным последствием применения этой технологии является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из созданных потоков. Только поэтому в следующей версии наших продуктов будет использоваться иная технология, обладающая аналогичными плюсами, но лишенная этого минуса.

Руссинович также сказал: «You don't want IT not knowing what's on the systems. ... Not being able to go to the system to do software inventory and disk space inventory, that's just not a good idea» («Нельзя, чтобы IT-профессионалы не знали, что содержится на их компьютерах. ... Невозможность установить, какие программы есть в вашем компьютере, чем заполнен ваш жесткий диск — это просто не самая хорошая идея»).

ЛК считает, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов.

Разные программные продукты используют собственные форматы хранения данных, включая собственные форматы сжатия и шифрации. Таким образом, даже IT-профессионалы не знают, что находится внутри файлов подобных форматов. Я не знаю, что находится внутри каждого файла данных на моем собственном компьютере, как не знаю и всех слов из всех книг своей домашней библиотеки.

ЛК считает, что проблема «руткитов» чрезмерно раздута. Всем — и специалистам-экспертам, и журналистам — следует внимательнее относиться к используемым нами терминам. Нельзя дезинформировать обычных пользователей, неспособных самостоятельно разобраться в сути проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот оригинал статьи http://www.pcworld.com/news/article/0,aid,124365,00.asp

Кстати, она также касается продуктов Symantec, но в русской версии, почему-то это умалчивается :clever:

Автор просто решил пропиариться на гребне волны, возникшей после скандала с руткитом Sony.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Вот оригинал статьи http://www.pcworld.com/news/article/0,aid,124365,00.asp

Кстати, она также касается продуктов Symantec, но в русской версии, почему-то это умалчивается :clever:

Автор просто решил пропиариться на гребне волны, возникшей после скандала с руткитом Sony.

Выложить официальный ответ ЛК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Выложить официальный ответ ЛК?

У них преза вышла на этой счет на той неделе.

http://www.kaspersky.ru/news?id=177713739

Или есть что-то еще?

В последнее время широкий резонанс в СМИ начинает получать сообщение эксперта в области компьютерной безопасности Марка Руссиновича (Mark Russinovich) об использовании rootkit-технологий в антивирусных продуктах «Лаборатории Касперского». Учитывая пристальное внимание компьютерного сообщества, «Лаборатория Касперского» считает необходимым предоставить официальные комментарии по данному инциденту.

Марк Руссинович считает, что «Лаборатория Касперского» использует некоторые особенности rootkit-технологий в своих продуктах. «Лаборатория Касперского» сообщает, что технология iStreams™, используемая в Антивирусе Касперского, не может быть применена злоумышленниками с целью нанесения вреда пользователям, у которых установлен данный продукт, и использование термина «rootkit» для ее описания не является корректным.

Данная технология впервые была представлена в пятой версии антивирусных продуктов «Лаборатории Касперского» два года назад. iStreams позволяет повышать производительность процесса сканирования на компьютере пользователя за счет использования альтернативных потоков данных NTFS для хранения данных о контрольных суммах файлов в системе пользователя. Если контрольная сумма файла остается неизменной со времени последнего сканирования, антивирусная программа понимает, что никаких действий с файлом не производилось и повторное сканирование осуществлять не нужно.

Для просмотра альтернативных потоков данных NTFS требуются специальные программы. Тот факт, что эти потоки данных не являются видимыми в автоматическом режиме, не означает, что технология, их использующая, является вредоносной.

По мнению экспертов «Лаборатории Касперского», технология iStreams не содержит в себе rootkit, позволяющий злоумышленнику нанести вред компьютерам пользователей. Если Антивирус Касперского активен, потоки скрыты и к ним нет доступа со стороны любых процессов, включая системные. Если продукт отключен, то потоки становятся видимыми при помощи специальных программ. Если поток перезаписан какими-либо (возможно, вредоносными) данными (например, после перезагрузки компьютера в безопасном режиме), то в момент следующей перезагрузки системы Антивирус Касперского при чтении потока не распознает формат и начинает формирование базы данных контрольных сумм файлов заново. Таким образом, вредоносные данные уничтожаются.

Технология iStreams предоставляет пользователям Антивируса Касперского ощутимые преимущества в плане производительности, при этом не представляя собой никакой опасности при использовании продукта. Единственным небольшим недостатком данной технологии является то, что на деинсталляцию антивирусной программы требуется больше времени, так как необходимо удалить данные из потоков. По этой причине специалисты «Лаборатории Касперского» планируют внедрение в следующей версии Антивируса Касперского альтернативного механизма, не использующего технологию iStreams, для обеспечения того же уровня производительности.

Более подробные комментарии Евгения Касперского, руководителя антивирусных исследований «Лаборатории Касперского», доступны по адресу www.viruslist.com/ru/weblog?weblogid=177713438.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

Обратите внимание на:

По этой причине специалисты «Лаборатории Касперского» планируют внедрение в следующей версии Антивируса Касперского альтернативного механизма, не использующего технологию iStreams, для обеспечения того же уровня производительности.

Ну не верю я, что будут отказываться от данной технологии (которая дает реальные преимущества по словам г-на Касперского) из-за

увеличения времени деинсталляции

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Обратите внимание на:
По этой причине специалисты «Лаборатории Касперского» планируют внедрение в следующей версии Антивируса Касперского альтернативного механизма, не использующего технологию iStreams, для обеспечения того же уровня производительности.

Ну не верю я, что будут отказываться от данной технологии (которая дает реальные преимущества по словам г-на Касперского) из-за

увеличения времени деинсталляции

Согласен. Да и в конце-концов, ну дольше деинсталляция и что? Что каждый день деинсталлируешь???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну не верю я' date=' что будут отказываться от данной технологии (которая дает реальные преимущества по словам г-на Касперского) из-за
увеличения времени деинсталляции

Я тоже слышал, что от нее отказываются.

На эту технологию много нареканий, основное - после нее остаются хвосты, хотя уже начиная с первого MP (KAV Personal) при сносе антивируса есть опция - удалить файлы-потоки NTFS или оставить.

Но все равно один только этот вопрос многих юзеров пугает :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

т.е. знает кошка, чье мясо съела...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
т.е. знает кошка, чье мясо съела...

И что? Работает! Вот что главное! А после себя при деинсталляции сносит корректно все хвосты. И я считаю это нормальным!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Обратите внимание на:
По этой причине специалисты «Лаборатории Касперского» планируют внедрение в следующей версии Антивируса Касперского альтернативного механизма, не использующего технологию iStreams, для обеспечения того же уровня производительности.

Ну не верю я, что будут отказываться от данной технологии (которая дает реальные преимущества по словам г-на Касперского) из-за

увеличения времени деинсталляции

Уже отказались, в 6-ке стримы не используются совсем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Andrew

А чем компенсируется отказ от стримов?

Я знаю в 6-ке есть оптимизация через проверку только новых и измененных файлов, ограничение области мониторинга, исключение процессов из проверки (очень актуально).

Если ли что-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Andrew

А чем компенсируется отказ от стримов?

Я знаю в 6-ке есть оптимизация через проверку только новых и измененных файлов, ограничение области мониторинга, исключение процессов из проверки (очень актуально).

Если ли что-то еще?

Используется БД, т.е. стримовые данные упакованны в отдельный файл

Причина перехода - жалобы пользователей на стримы (хотя при инсталляции есть возможность отказаться от использования) - просто не нравится пользователям, конфликты с некоторыми системами бакапа, предупреждения эксплорера что при копировании на фат могут теряться данные (т.е. этот стрим не может быть скопирован).

Добавлено спустя 2 минуты 15 секунд:

Andrew

Я знаю в 6-ке есть оптимизация через проверку только новых и измененных файлов, ограничение области мониторинга, исключение процессов из проверки (очень актуально).

Если ли что-то еще?

Угу, всё правильно. Добавлены режимы работы OAS - стандартная проверка (старый режим), смарт (текущий), по запуску, по открытию

К сожалению последние два пока только в серверных версиях...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Кстати улучшение быстродействия на лицо, у меня сейчас дома стоит KIS 2006 бета-2, работает заметно быстрее чем старая связка Outpost Pro + Kaspersky Personal 5.0

Прямо вторая жизнь моего совсем не нового ноута :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Кстати улучшение быстродействия на лицо, у меня сейчас дома стоит KIS 2006 бета-2, работает заметно быстрее чем старая связка Outpost Pro + Kaspersky Personal 5.0

внушительно, надо испытать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Посты про проверку заблокированных (sharing/lock) файлов я выделил для удобства в отдельную ветку

http://www.anti-malware.ru/phpbb/viewtopic.php?t=452

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Кстати улучшение быстродействия на лицо, у меня сейчас дома стоит KIS 2006 бета-2, работает заметно быстрее чем старая связка Outpost Pro + Kaspersky Personal 5.0

внушительно, надо испытать.

Действительно, работает значительно быстрее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×